След разкритията на Сноудън знаем, че САЩ извършват масово наблюдение на потребителите в ЕС, като събират лични данни от американските големи технологични компании. "Съветът за надзор на неприкосновеността на личния живот и гражданските свободи" (PCLOB) е основният орган за надзор на тези закони в САЩ. Сега американските медии съобщават, че членовете на PCLOB от Демократическата партия са били отстранени и техните имейл акаунти са били закрити. По този начин броят на назначените членове е под прага, необходим за функционирането на PCLOB. Фактът, че президентът на САЩ просто е отстранил хора от (предполагаемо) независим орган, поставя под въпрос независимостта на всички други изпълнителни органи за правна защита в САЩ.
Европейският съюз разчита на тези американски съвети и трибунали, за да установи, че САЩ осигуряват "адекватна" защита на личните данни. Разчитайки на PCLOB и други механизми, Комисията на ЕС позволява на европейските лични данни да текат свободно към САЩ в така наречената "Трансатлантическа рамка за защита на личните данни" (TADPF). PCLOB е единственият релевантен "надзорен" елемент на сделката. Другите елементи действат само като органи за обжалване. Хиляди предприятия, правителствени агенции или училища в ЕС разчитат на тези разпоредби. Без TADPF те ще трябва незабавно да спрат да използват американски доставчици на облачни услуги като Apple, Google, Microsoft или Amazon.
- Предистория на сагата с предаването на данни между ЕС и САЩ
- Информация за TADPF PDF от ЕС
- Страница на програмата TADPF от правителството на САЩ
- Решение (ЕС) 2023/1795 относно TADPF
- СЪД НА ЕС: Schrems I и Schrems II
- Доклад относно отстраняването на членове на PCLOB
Системата за предаване на данни между ЕС и САЩ - смесица от право на ЕС и САЩ. Като цяло, от 1995 г. насам правото на ЕС забранява износа на лични данни към държави извън ЕС, освен ако не е налице абсолютна необходимост (напр. при изпращане на електронна поща до всяка държава извън ЕС). Данни могат да се изпращат в чужбина, когато държавата извън ЕС осигурява "по същество еквивалентна" защита на личните данни на европейците. От друга страна, САЩ имат много силни закони за масово наблюдение (напр. FISA702 или EO 12.333), които позволяват на американското правителство да получи достъп до всички данни, съхранявани в Amazon, Meta, Microsoft, Google и всяка друга американска фирма от сектора на големите технологии, без вероятна причина или индивидуално съдебно одобрение. Поради това Съдът на Европейския съюз на два пъти постанови(Schrems I и Schrems II), че правото на САЩ не е "по същество еквивалентно". Въпреки това Урсула фон дер Лайен настоява да се приеме трето споразумение между ЕС и САЩ, наречено "Трансатлантическа рамка за защита на личните данни" (TADPF).
TADPF е изградена върху пясък. На 10.7.2023 г. Европейската комисия издаде Решение за изпълнение (ЕС) 2023/1795, с което официално прие TADPF. Това позволи на всяко предприятие от ЕС свободно да прехвърля данни на доставчици от САЩ, въпреки американските закони за наблюдение. Европейската комисия разчиташе на (много съмнителни) изпълнителни заповеди или писма на американското правителство, включително на PCLOB, за да установи, че САЩ са "по същество еквивалентни". Тези елементи обаче не са отразени в американските закони и кодифицирано право, тъй като в Конгреса на САЩ не е имало мнозинство, което да приеме такива закони. Дълго време се критикуваше, че следващият президент на САЩ може да унищожи тези защити с едно движение на перото. Този сценарий вече е на хоризонта. В своето решение Европейската комисия споменава PCLOB цели 31 пъти, за да обясни защо САЩ имат "по същество еквивалентни" защити. PCLOB е единственият общ "надзорен" орган, който следи дали американските служби действително спазват законите, заповедите и другите обещания. Други елементи на американското законодателство, като например различни механизми за обезщетение, изискват ищецът да се активизира. САЩ традиционно блокират достъпа до тези органи чрез различни правила за "процесуална легитимация", което води до това, че на практика никога не се допускат искове. Това означава, че PCLOB е единственият подходящ механизъм за надзор, на който TADPF разчита.
Макс Шремс:"Тази сделка винаги е била построена върху пясък, но бизнес лобито на ЕС и Европейската комисия така или иначе я искаха. Вместо стабилни правни ограничения, ЕС се съгласи на изпълнителни обещания, които могат да бъдат отменени за секунди. Сега, когато първите вълни на Тръмп удариха тази сделка, тя бързо хвърля много предприятия от ЕС в правно безвремие. Самият PCLOB е само едно от парчетата на пъзела и докато той само временно не функционира, има аргумент, че сделката не е по-лоша от преди. Въпреки това посоката, в която тя се развива през първата седмица от президентството на Тръмп, не изглежда добре. Следим отблизо дали това е временен проблем, или PCLOB е убит завинаги."
Независимостта на органите на изпълнителната власт е поставена под въпрос. За разлика от органите за защита на данните в ЕС, повечето надзорни органи в САЩ са създадени от изпълнителната власт и следователно не са независими. Независимостта често се предоставя само от президента, но може да бъде отнета или отменена по всяко време. Много от тези странни правни концепции са резултат от структурната невъзможност за приемане на реално законодателство в САЩ. Вместо това цели правни области се регулират само с президентски заповеди. Фактът, че сега президентът на САЩ се опитва просто да отстранява хора, поставя под въпрос дали идеята за (уж) "независими" изпълнителни органи изобщо е била фактически аргументирана от самото начало. Много други елементи на TADPF, като например Съдът за контрол на защитата на данните, имат още по-слаба правна защита от PCLOB.
Макс Шремс:"Имаше много въпроси относно независимостта на тези надзорни механизми. За съжаление, изглежда, че те може да не издържат теста дори само на първите дни от президентството на Тръмп. Това е разликата между солидните правни защити в закона и пожелателното мислене. Европейската комисия е разчитала единствено на второто."
45 дни до следващата критична точка. В един от първите изпълнителни укази, които Тръмп подписа в понеделник, той определи, че всички решения на Байдън в областта на националната сигурност (включително съответните решения, на които се опират трансферите между ЕС и САЩ) трябва да бъдат преразгледани и евентуално премахнати в рамките на 45 дни. Това означава, че по-нататъшните елементи, на които се опираше TADPF, могат да рухнат в рамките на няколко дни. Тъй като цялата сделка се основава на решенията на Байдън, Тръмп може да унищожи всички ключови елементи на сделката с един подпис - което ще доведе до незабавно незаконно предаване на данни между ЕС и САЩ.
Макс Шремс:"Трудно мога да си представя, че изпълнителното решение на Байдън, което беше наложено на САЩ от ЕС и което регулира американския шпионаж в чужбина, може да оцелее по логиката на "Америка на първо място" на Тръмп. Проблемът е, че не само американските големи технологични компании, но особено нормалните предприятия в ЕС - всички те разчитат на тази система от нестабилни изпълнителни заповеди, за да твърдят, че използването на американски облачни системи е законно в ЕС."
Комисията маневрира с предприятията от ЕС към пропаст. Въпреки всички факти и критики от страна на Европейския парламент и органите на ЕС за защита на данните, Европейската комисия последователно твърди, че TADPF е стабилна и разумна. Бизнес лобито на ЕС настояваше за с(ъгласие) на сделката - без значение колко нестабилна или откачена е тя. По същия начин американските големи технологични компании искаха да останат на пазара на ЕС без никакви технически ограничения във връзка с достъпа на американските правителства. Сега всички - от големите банки, цели национални училищни системи до много малки предприятия - могат да се събудят в правна ситуация, в която използването на американски облачни продукти скоро ще бъде незаконно.
Трансферът на данни между ЕС и САЩ засега е законен - но се подгответе. Решението на американската администрация няма да направи незабавно незаконни трансферите от САЩ. Решението на Европейската комисия по принцип е законно, докато е в сила и не е отменено от самата Комисия или от Съда на ЕС. Така че дори материалната констатация да се окаже погрешна, решението все още съществува формално, докато не бъде отменено. Въпреки това, ако ключови елементи, на които ЕС е разчитал, не функционират, ЕС ще трябва да анулира сделката.
Макс Шремс: "Въпреки че аргументите в полза на сделката между ЕС и САЩ изглежда се разпадат, дружествата могат да разчитат на сделката, докато тя не бъде официално отменена. Въпреки това, предвид развитието на ситуацията в САЩ, за предприятията и другите организации е по-важно от всякога да разполагат с план за действие в извънредни ситуации "домакин в Европа"."
Европейската комисия е в затруднено положение. Европейската комисия се оказа в трудна ситуация не само от гледна точка на доверието, но и от дипломатическа гледна точка. Ако сега реагира бързо и отмени TADPF, американската технологична олигархия ще се разплаче, че ЕС "прецаква" американските големи технологии. Администрацията на Тръмп може да възприеме това като причина да започне първата сериозна борба с ЕС. Въпреки това, непредприемането на действия и липсата на официално предупреждение към предприятията, публичните органи и други организации от ЕС, които изпращат данни в САЩ, също изглежда проблематично. Бъдещето на TADPF може да е много краткотрайно.
Версия на дебата за TikTok в САЩ в ЕС? Въпреки че САЩ дълго време омаловажаваха европейските опасения за изтичането на лични данни към САЩ и използването им за масово наблюдение, САЩ внезапно се обърнаха, след като техните собствени данни бяха обобщени от TikTok. От една страна, забраната или задължителното придобиване на американски големи технологии в Европа би било правно невъзможно. Американските предприятия ще бъдат защитени от това ЕС да приеме еквивалент на "забрана на TikTok". В същото време задължението да се пазят данните на ЕС извън ръцете на американското правителство е по подразбиране в правото на ЕС от 1995 г. насам. То ще бъде закон и след като Европейската комисия анулира споразумението между ЕС и САЩ. Тогава американските големи технологични компании ще трябва да защитят своите центрове за данни в ЕС от достъпа на американските си компании майки.
